引用:https://portswigger.net/daily-swig/ip-spoofing-bug-leaves-django-rest-applications-open-to-ddos-password-cracking-attacks 报告日期:2022年1月11日
- 除提供验证码外,应采取哪些安全措施?
- Django和/或Python的哪个版本会受到IP欺骗攻击的影响?
哪个版本的Django REST框架受到IP欺骗的影响?
3
- that guy
1个回答
2
我对你分享的链接进行了一些研究,研究了Django和Django REST框架的源代码。
基本的Django不会受到此漏洞的影响,因为它没有使用 X-Forwarded-For,Python也是如此。
几乎所有版本的Django REST框架都存在漏洞,因为9年前的这个提交添加了 HTTP_X_FORWARDED_FOR 检查:https://github.com/encode/django-rest-framework/blob/d18d32669ac47178f26409f149160dc2c0c5359c/rest_framework/throttling.py#L155
由于尚未发布补丁,您可以采取措施以避免此问题,例如实现自己的速率限制器,并替换 get_ident 仅使用 REMOTE_ADDR。
如果您的Djando REST Framework应用程序在代理后面,则可能不会受到此影响。
- Francisco
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 9 Django 2.0中的Django REST框架URLs
- 12 如果可能的话,我怎样才能获取Django REST框架的版本?
- 24 Django REST框架 + Django REST Swagger + ImageField
- 12 Python 3中的IP欺骗
- 19 Django REST框架的Swagger 2.0
- 3 建立Django Rest框架
- 4 Django框架推荐使用哪个版本的Python?
- 4 Django的select_for_update锁定记录是否受到更新值的影响?
- 46 Django REST框架:API版本控制
- 5 Django REST框架Browsable API的不同版本管理方案